テー 


昌 ピア 福 難 化 す 


る シス テム の 


信頼 性 確保 に は 冗長 設計 が 


欠か せな い 


5 長 設計 の 位置 付け か ら 具 体 的 な 手法 まで 


ここ で は , 機器 の 信頼 性 を 高め る 手段 の 一 つ , 冗長 設計 に つい 
て , その 位置 付け か ら 設計 の 取り 組み 方 まで を 解説 する . 冗長 
設計 に お いて は , 設計 者 自身 が 担当 する 回 路 だ け で な く , シス 
テム 全体 を 理解 し , どの 部 分 を 冗長 構成 と する こと が 最善 な の 
か を 見 極め る バラ ンス 感覚 も 大 切 で ある . (編集 部 ) 


高 信頼 性 シス テム を 実現 する た め に は , 特集 1 で 述べ ら 
れ て いる よう に , さま ざま な 設計 解析 手法 や 設計 技術 が 使 
われ ます . 本 稿 で は , 対策 の 一 つと し て 用 いら れる 冗長 設 
計 の 枠組 み に つ いて 説明 し ます . 


1 』 元 長 設計 の 位置 付け 


冗長 設計 を 行う こと に より , どの よう な 効果 が 見 込ま れ 
る の で し ょ うか . 高 信頼 性 を 要求 され る シス テム に は , 改 
障 や 誤動作 を 起こさ ない よう に , 設計 余裕 を 持た せる 必要 
が あり まず 図 1). 

ハー ド ウェ ア を 構成 する 部 品 や 材料 の ば ら つ き を 考慮 し 
と 設計 余裕 を 持た せる と と も に , シス テム が 使わ れる 環境 
や , 装置 が 耐え られ る 環境 温度 範囲 , 湿度 範囲 , 気圧 範 
, 振動 ・ 衝撃 レ ベル , 放射 線 レベ ル な ど ) も 考慮 する 必 
要 が あり ます . 


⑯ ば ら つ き へ の 配慮 は ソフ トウ ェ ア 設 計 に お いて も 必要 

製造 時 の ば ら つ き に つい て も 考慮 する 必要 が あり ます . 
これ は ハー ド ウェア の 設計 ば か り で な く , ソフ ト ウェア の 
設計 に も 当て は まり ます . 例え ば , デバ イス や 製造 時 の 調 


国 
記 gyWord 
時 | 
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檜原 弘樹 


整 の ば ら つ き が ソフ トウ ェ ア に 対す る 割り 込み の タイ ミ ・> 

グ に 影響 を 与え た りす る こと も あり ます . 

万 が 一 , 故障 が 検出 され た り 誤動作 が 発生 し た り し た 場 
合 で も , 破局 的 な 故障 に は 至ら ず , 最悪 で も いっ た ん 機器 
の 動作 を 中断 し , マニ ュ ア ル 操 作 に よっ て 運転 や 復帰 が で 
きる よう な フェ イル セー ズ faiLsafe) 機能 が 必要 と され ます . 


人 @ 耐 故障 へ の 要求 は 高まる ば か り 

近年 , 組み 込み シス テム の 提供 する 機能 や サー ビス の 高 
度 備 イン テリ ジェ ント 化 ) が 進ん で いま す . マイ クロ プロ 
セッ サ を 内蔵 する ば か り で な く , さま ざま な セン サ や 通信 
機能 が 組み 込ま れ , 個々 の セン サ 出 力 や ネッ トワ ー ク 経由 
で 送信 され た 情報 を 有機 的 に 統合 し て 運用 する 自動 化 ・ 自 
律 化 機能 な ども 求め られ る よう に な っ て きま し た . 
組み 込み シス テム に 用 いら れる マイ コン の 高度 化 に より 
この よう な シス テム は ます ます 増え る も の と 考え られ ます . 
これ ら の 機器 は , オペ レー タ の 操作 を 必要 と する も の ば か 
り で な く , 一 度 シ ステ ム が 起動 され る と 以降 は 長 時 間 無人 
で 稼働 する 機器 も 増え て お り , 無人 で 運用 する 組み 込み シ 
ステ ム へ の 信頼 性 要求 も 高度 化し て いま す . さら に , 航空 
旨い の 自覚 と か の 提 シ ス 
テム が オペ レー タ と 協調 的 に 動作 する よう な 高度 な 自動 化 
技術 も 求め られ る よう に な っ て き て いま す . 


品 


信 単 一 故障 点 を 除去 する の が 冗長 設計 
この よう な 組み 込み シス テム で は , フェ イル セー フ か ら 
さら に 進み , 異常 や 故障 が 生じ て も 適切 な 動作 を 継続 する 


フェ イル セー フ , fai-safe, フェ イル ・ オ ペラ ティ ブ , fail operative, 耐 故障 性 , 故障 ケー ス , 
クロ ス ・ ス トラ ッ プ , コー ルド ・ ス タン バイ 方 式 , 待機 冗長 方 式 , ホッ ト ・ ス タン バイ 方 式 , 常用 兄 長 方 式 


フェ イル ・ オ ペラ ティ ズ fail operative) 機能 が 求め られ る 
よう に な っ て き て いま す . 特に , 安全 性 が 求め られ る シス 
テム に 実装 する フェ イル ・ オ ペラ ティ ブ 機 能 は , 信頼 性 の 
高い も の で な けれ ば な り ま せん . 一 つ 改 障 が 発 生 し て も 継 
続 し て 稼働 で きせ る も の を 1 フェ イル ・ オ ペラ ティ ブ と 言い 
ます . 人 命 に か か わる よう な シス テム や , 社会 イン フラ に 
か か わる よう な シス テム で は , 二 つ 故 障 が 発 生 し て も 破局 
的 な 故障 に は 至ら ず , 最低 で も 正常 動作 に 復帰 で きる 2 フェ 
イル セー フ で ある こと が 求め られ る こと が 少な く あり ませ 
ん 注 1 

組み 込み シス テム へ の 耐 故 障 性 の 要求 は ます ます 高度 化 
し て き て お り , フェ イル セー フ , さら に フェ イル ・ オ ペラ 
ティ ブ 機 能 を 実現 する た め の さ ま ざ ま な アー キテ クチ ャ が 
開発 され て いま す . これ ら の アー キテ クチ ャ の 一 つと し て 
用 いら れる の が , 冗長 構成 で す . ある 特定 の 部 分 の 故障 に 
より シス テム の 機能 が 失わ れ て し まう と き , その 部 分 を 単 
一 故障 点 single point of failure) と 呼び ます . シス テム か 
単 一 故障 点 を 除 夫 する た め の 手 段 と し て 冗長 設計 が 用 い 
られ まず 図 2). 


2 |』 さ ま ざ ま な 立場 か ら 見 た 冗長 設計 が ある 


冗長 設計 は , 組み 込み シス テム が 持つ 演算 機能 や , 故障 
検出 機能 , 故障 分 離 機能 , 再 構成 機能 , 再 同期 機能 を それ 
ぞ れ 分 散 化 する こと に より 行わ れ ま す . 


いび Y 


人 @ 吾 機能 を 分 け て 考え る こと か ら 始 まる 

演算 機能 を 冗長 化す る 方 式 と し て は , 多数 決 方 式 や , 時 
間 軸 上 の 冗長 設計 と し て 同じ 演算 を 2 回 以上 実行 し て 結果 
を 確認 する 方 式 な ど が あり ます 

故障 検出 機能 を 冗長 化す る 方 式 と し て は , 誤り 検出 ・ 訂 正 
符号 や , 複数 の プロ セッ サ が プロ セッ サ そ の も の の 出力 と ほ 
か の プロ セッ サ の 出力 と を 比較 する 方 式 な ど が あり ます . 
故障 分 離 機能 を 実現 する た め に は , 故障 が 生じ た 部 分 を 
物理 的 ,」 あるいは 論理 的 に 隔離 で きる 必要 が あり ます . シ 
ステ ム が うま く 階層 的 に 構成 され て いる 場合 に は , 故障 を 
マス ク し て ほか に 波及 させ ず に 済ま すこ と も で きま す . 故 


注 1: 技術 的 に 簡単 な 方 か ら 並べ る と , 1 フェ イル セー ズ 一 つ 故 障 が 発生 し 
て も 正常 動作 に 復帰 で きる ), 1 フェ イル ・ オ ペラ ティ ブ , 2 フェ イル 
セー フ , 2 フェ イル ・ オ ペラ ティ ズ 二 つ 故 障 が 発生 し て も 継続 し て 稼 
働 で きる ) と な る . 


図 1 冗長 構成 の 例 1 
予定 時 刻 に 起き る た め の 準 備 を 念入り に 行っ た. 


障 し た 部 分 が 自発 的 に シス テム か ら 離脱 で きる よう に すれ 
ば , 故障 分 離 機 能 も 分散 化し た 冗長 設計 を 行え ます . この よ 
うな シス テム を セル フ ・ パ ー ジ ング ・ シ ステ ム と 呼び ます . 
故障 分 離 機能 が 実現 で き て いれ ば , 冗長 系 に 切り 替え た 
り , 故障 し た 部 分 を 切り 離し た りす る な ど し て , 失わ れ た 
機能 を ほか の 機能 で 肩代わり させ る よう な シス テム に 発展 
させ る こと も 可能 で す . これ ら は 再 構成 機能 と 呼ば れ ま す 
が , 完全 に 元 の 機能 ・ 性 能 を 維持 せ ず に , 一 部 の 機能 を 縮 
退 さ せ た り , 性 能 を 落と し た りす る こと に より シス テム の 
運用 を 継続 する こと を 優先 させ る 場合 も あり ます . 

シス テム に 故障 が 発生 する 以前 の 状態 が 保持 され て いれ 
ば , シス テム を 再 構成 し た 後に , その 時 点 ま で いっ た ん 後 
戻り し て 処理 を 継続 させ る こと も 可能 で す . この よう な 再 
同期 機能 が 組み 込ま れ て いれ ば , 速やか に 通常 の 処理 サイ 
クル に 復帰 させ る こと が 可能 に な り ま す . 


人 @ 故障 の 解析 を 徹底 し , 冗長 設計 の 方 針 を 決め る 

これ ら の 冗長 設計 を 行う 際 は , 十分 に 故障 ケー ス の 解析 を 
行い , 一 過 性 の 故障 に 対応 する の か , 永久 故障 に 対応 する の 
か な ども 考慮 し て 最適 な 方 式 を 選択 する 必要 が あり ます . 
例え ば , 人 工 衛星 に 搭載 され る コン ピュ ー タ に つい て 見 
て み ま し ょ ず リ . 宇宙 機器 搭載 用 の オン ボー ド ・ コ ン ピ ュ 
ー 丈 onboard computer : OBC) は , 通常 の 組み 込み シス 
テム 用 計算 機 と 比較 する と , その 使わ れる 環境 に お いて 多 
く の 点 を 考慮 し な けれ ば な り ま せん . 外部 環境 と し て は , 
宇宙 空間 特有 の 温度 差 や 放射 線 環境 を 考慮 する 必要 が あり 
ます . 温度 差 に つい て は , 衛星 シス テム の 熱 制御 技術 の 進 
歩 に より , 運用 中 の 衛星 内 部 の 温度 変化 を 非常 に 緩やか に 
する こと が 可能 と な っ て いま す . し か し , 輸送 , 打ち 上 げ 
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ee 


AS 


図 2 

冗長 構成 の 例 2 

結局 , 僕 っ て 信用 され て いな か 
っ た の ね . 


な ども 含め た ライ フサ イク ル 全 体 を 考慮 し た 場合 , 組み 込 
み 機 器 単体 と し て 動作 を 保証 する 温度 幅 は 依然 と し て 60C 
以上 に も な り ま す . 

また , 宇宙 空間 で は 放射 線 レ ベル が 高く , 惑星 の 近傍 や 
太陽 風 な ど に 含ま れる 7 線 , お よび 銀河 宇宙 線 な ど に 含ま 
れる 重 粒子 イオ ン な ど が 存在 し ます . 前 者 は 主として , そ 
の 総 線 量 に よる デバ イス 特性 の 劣化 を 招き , 後者 は ソフ ト 
エラ デー タ の 反転 な ど ) ま た は ラッ チア ッ プ な どの 過渡 
不良 を 引き 起こ し ます . こう いっ た 放射 線 の 影響 に 対し て 
耐性 を 持た せる 必要 が あり , さま ざま な 冗長 設計 が 用 いら 
れ ま す . 


冗長 設計 の 構成 鐘 
デバ イス ・ レ ベル の 冗長 構成 較 


* メ モリ ・ シ ステ ム : ECC, パリ ティ , チェ ッ ク ・ サ ム [ 
* イ ンタ ー フ ェ ー ス ・ デ バイ ス : クロ ス ・ ス トラ ッ プ 図 
( た すき がけ) 接続 凶 

e 電源 : コー ルド ・ ス タン バイ , ホッ ト ・ ス タン バイ 罰 


マイ クロ プロ セッ サ / プ ロ セ ッ サ ・ 較 { 


モジ ュー ル ・ レ ベル の 冗長 構成 図 


s 待機 冗長 な ど 較 


ホッ ト ・ ス タン バイ 図 
e 多数 決 方 式 較 

e 並列 運 寺 デュ プレ ックス な ど ) 
* ソ フト ウェ ア 通 信 方 式 較 
eFRM/CRAFT シ ステ ム な ど 較 


図 3 冗長 設計 の 構成 
冗長 設計 を 構成 する に は , デバ イス ・ レ ベル で 冗長 を 構成 する も の と , マイ 
クロ プロ セッ サ や プロ セッ サ ・ モ ジュ ー ル ・ レ ベル で 冗長 を 構成 する も の が 
ある . ハー ドウ ェ ア の 機能 で 冗長 化す る ば か り で な く , ソフ ト ウェ ア を 用 い 
て 冗長 化す る 方法 も ある . 
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負 長 設計 は 人 命 と お 金 の 


トレ ー ド オフ ? 


シス テム の 信頼 性 を 高め る 方 法 を 検討 する に あたり ,「 信 
頼 度 を 定量 的 に 検討 する 方 式 」 と ,「 シス テム 的 に 冗長 系 を 
構成 する 方 式 」 が 存在 し ます . 

前 者 の 方 式 に は , 米国 の 宇宙 機 シ ステ ム や 欧州 の 鉄道 規 
格 な ど が あり ます . これ ら の シス テム で は , シス テム の 乏 
働 率 や 人 命 に か か わる リス ク も 数 値 的 に 管理 し ます . 

一 方 , シス テム 的 に 代替 機能 を 活用 し て 機能 を 継続 する 
考え 方 も あり ます . 例え ば , 小惑星 イト カワ 」 に 世界 で 初 
め て 自動 着陸 , 離脱 に 成功 し た 日 本 の 人 工 衛星 は や ぶさ 」 
宮入 ラス ダ や ジャ イ 唱 が 改 障 し て も 。 イ オジ ・ エッ ンジ 
ン で 制御 を 続け て いま ず う . この 考え 方 ば 機能 冗長 」 と 呼 
ば れ , 信頼 度 の 定量 的 な 表現 ば か り で な く , さま ざま な 運 
用 ケー ス が 検討 され ます . 

日 本 市 場 で は , 信頼 度 と コス ト と の トレ ー ド オフ は あま 
りな じ ま ず , ある 期間 中 に 故障 し な いこ と が 暗黙 の シス テ 
ム 要 求 . な る こと が 少な く あり ませ ん . 一 方 , 欧米 の 数 値 
的 な 信頼 度 に 基づく トレ ー ド オフ の 考え 方 か ら , 高い 信頼 
性 を 持つ 部 品 の 製造 方 法 が シス テマ チッ ク に 定義 され る な 
どの 利点 が あり , これ ら 二 つの 考え 方 は 今後 も 相補 的 に 用 
いら れ て いく も の と 考え られ ます . 


4 | 冗長 設計 へ の 具体 的 な 取り 組み 方 


これ まで 述べ た よう に , 冗長 設計 は 単 一 故障 点 の 除去 を 
目的 と し て 適用 され , 組み 込み シス テム が 要求 する フェ イ 
ル セ ー フ 機能 や フェ イル ・ オ ペラ ティ ブ 機 能 を 実現 する た 


8 ビッ ト 図 8 ビッ ト 図 8 ビッ ト 罰 


主 系 メモ リ 図 冗長 系 メモ リ 図 
( a) メモ リ ・ デ バイ ス の 数 を 2 倍 と し た 冗長 構成 図 


図 4 メモ リ ・ シ ステ ム を 冗長 化す る 手段 


8 ビッ ト 図 8 ビッ ト 較 8 ビッ ト 図 
デー タ ・ メ モリ 較 符号 メモ リ 較 
( b) ハミ ング 符号 化 を 用 いた 冗長 構成 較 


符号 化 技術 を 用 いる こと で 単純 に 複数 の メモ リ を 使う 構成 より も メモ リ の 数 を 減ら せる . 


め の 重 要 な 手段 と な り ま す . 

冗長 設計 を 構成 する に は , デバ イス ・ レ ベル で 冗長 を 構 
成す る も の と , マイ クロ プロ セッ サ や プロ セッ サ ・ モ ジュ 
ー ル ・ レ ベル で 冗長 を 構成 する も の が あり ます . ハー ド 
ウェ ア の 機能 で 冗長 化す る ば か り で な く , ソフ トウ ェ ア を 
用 いて 冗長 化す る 方法 も あり ます . 


@ デバ イス ・ レ ベル の 冗長 構成 は 大 きく 三 つ 

デバ イス ・ レ ベル の 冗長 構成 と し て は 図 3 に 示す よう に, 
メモ リ ・ シ ステ ム を 冗長 化す る も の , イン ター フェ ー ス ・ 
デバ イス を 冗長 化す る も の , お よび 電源 を 冗長 化す る も の 
な ど が あり ます . 

メモ リ > シス テム 

メモ リ ・ シ ステ ム を 冗長 化す る 手段 と し て は , パリ 
ティ イィ ・ ビ ッ ト を 追加 し た り チ ェ ッ ク ・ サ ム ・ デ ー タ を 追加 
し た り し て デー タ ・ エ ラー を 検出 し , エラ ー が 発見 され た 
場合 に は デー タ を 書き 直し た り , ある い は 別 の メモ リ を 使 
っ た りす る な どの 方 法 が あり ます . 符号 化 技術 を 用 いる こ 
と で 単純 に 複数 の メモ リ を 使う より も 冗長 な メモ リ の 数 を 
減ら すこ と も 可能 に な り ま す . 

ハミ ング 符号 を 使用 し た 場合 の 例 を 図 4 b) に 示し ます . 
この 方 式 で は , デー タ ・ メ モリ の 半分 の ビッ ト 幅 を 符号 と 
し て 加え る こと に より , 1 ビッ ト の エラ ー 検 出 / 訂 正 が 可能 
と な る た め , 半量 
ろ ん , エラ ー が 発見 され た 場合 に は , シス テム の 空き 時 間 
MPN の で お em が 
凌 積 し て 2 ビッ ト 以上 の エラ ー が 発生 し な いよ うに し ます . 


Ui 


図 5 イン ター フェ ー ス ・ デ バイ ス の 冗長 化 を 図る クロ ス ・ ス トラ ッ 
プ 接 続 

デバ イス の 故障 ば か り で な く , コネ クタ の 接触 不良 や 計 装 配線 の 断線 な ど が 
生じ て も 機器 の 運用 を 継続 で きる . 


2) イン ター フェ ー ス ・ デ バイ ス 
イン ター フェ ー ス ・ デ バイ ス の 冗長 化 を 図る も の と し て 
は , クロ ス ・ ス トラ ッ ズ た すき が け ) 接続 が よく 使わ れ ま 
す . 図 5 の よう に イン ター フェ ー ス ・ デ バイ ス を 接続 する 
こと に より , デバ イス の 故障 ば か り で な く , コネ クタ の 接 
触 不 良 や 計 装 配線 の 断線 な ど が 生じ て も 機器 の 運用 を 継続 
で きま す . 冗長 系 の 呼称 と し て は A 系 , B 系 と 呼ぶ こと に 
より , チャ ネル 番号 と の 混同 を 防ぐ な どの 配慮 を し ます . 
3) 電源 

電源 の 冗長 化 を 図る 場合 に は , 電源 断 の 状態 の 予備 機 を 
用 意 し て お き , ある 電源 が 落ち た 場合 に は , いっ た ん シス 
テム 運用 を 中 断 し て , 予備 機 の 電源 に 交換 する コー ルド ・ 
スタ ン バ イ 方式 や , あら か じ め 複 数 の 電源 を 並列 に 接続 す 
る ホッ ト ・ ス タン バイ 方 式 が あり ます . いずれ の 方 式 を 用 
いる に し て も , ダイ オー ド や スイ ッ チ な ど で 適 切 に 分 離し , 
電流 が 逆流 し な いよ うに 注意 する 必要 が あり ます . これ ら 
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故障 分 離 . 
機能 分 散 化 要 求 2 My 再 構成 機能 Ei 
へ の 対応 人 - 0 
>05 ョ UI ジラ (5 へ 8 | 上 @@ 〇 人 人 一 
パリ ティ O 人 計 
sgNy/ ク Opy 記 が 9 人 =ー 一 
イン ター フェ ー ス ・ デ バイ ス : クロ ス ・ ス トラ ッ ズ た すき 掛け ) 接続 〇 O po 喧 
電源 : コー ルド ・ ス タン バイ K う 人 計 一 
電源 : ホッ ト ・ ス タン バイ 〇 人 人 人 


の デバ イス ・ レ ベル の 冗長 構成 を どこ まで 採用 する か に つ 
いて の トレ ー ド オフ の 例 を 表 1 に 示し ます . それ ぞ れ の 機 
能 の 分 散 化 要求 に 対し , どこ まで 対応 する か に 応じ て 各 デ 
バイ ス ・ レ ベル で 冗長 化す る か し な いか を 判断 する こと に 
な り ま す . 


人 @ 宇宙 機 に 見 る プロ セッ サ ・ レ ベル の 冗長 構成 例 

マイ クロ プロ セッ サ や プロ セッ サ ・ モジュール ・ レ ベ 
ル の 冗長 構成 と し し て は , コー ルド ・ ス タン バイ 方 式 待機 
冗長 方 式 ) と ホッ ト ・ ス タン バイ 方 式 常用 冗長 方 式 ) お 
よび それ ら の 混在 構成 が あり ます . デバ イス ・ レ ベル の 
冗長 化 と 比べ る と , 比較 的 大 き な モ ジュ ー ル 単位 で の 冗 
長 構成 が 採ら れる こと か ら , さま ざま な アイ デア が 実用 
化 さ れ て いま す . 

ここ で は , 冗長 構成 が 採ら れる こと の 多い , 宇宙 機器 の 
プロ セッ サ ・ モ ジュ ー ル の 例 を 見 て み ま し ょ う リサ . 宇宙 機 
器 は , 地球 大 気 圏 を 越え る 遠 距離 で 運用 され , 搭載 され る 
組み 込み 計算 機 が 修理 で きる ケー ス が まれ で ある こと か ら , 
冗長 構成 を 採る こと に より 所 定 の 運用 期間 を 確保 する 対策 
が 採ら れ ま す . 宇宙 機器 に お ける プロ セッ サ ・ モ ジュ ー ル 
( CPU や PE と 呼ば れる ) の 多重 化 の 目的 は , 単 一 点 故障 ぼ 2 
を 防止 する こと で す . つま り , 一 部 分 の 異常 ・ 故障 に より 
シス テム 全体 の 機能 が 失わ れる こと を 防止 する こと を 目的 
と し ます . も ちろ ん , 冗長 構成 だ け で 高 信頼 性 シス テム が 
構築 で きる わけ で は な い の で , 各 冗 長 構成 方 式 に は 得失 や 
課題 が あり 得 ます . 従っ て , 上 述 し た デバ イス ・ レ ベル の 
冗長 構成 の 検討 と 同じ よう に , どの 程度 の 冗長 設計 を 採用 
する か を 信頼 性 要求 や 安全 性 要求 に 基づい て 検討 する こと 
に な り ま す . 


注 2: 単 一 故障 点 は , ハー ドウ ェ ア ま た は ソフ トウ ェ ア に お いて , そこ が 壌 
れる と シス テム の 機能 が 遂行 で き な く な る 個所 を 指す . 単 一 点 故障 は , 
1 カ所 の 故障 で シス テム の 機能 が 遂行 で き な く な る 現象 と いう 意味 で 
使い 分 け て いる . 
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〇 : 対応 可能 , へ: ほぼ 対応 可能 


コー ルド ・ ス タン バイ 方 式 と ホッ ト ・ 


スタ ン バ イ 方 式 


ここ で は , 前 項 で 触れ た コー ルド ・ ス タン バイ 方 式 待 
機 冗長 方 式 ) と ホット ・ ス タン バイ 方 式 常用 冗長 方 式 ) に 
つい て , 詳し く 説明 し ます . 


⑯ コー ルド ・ ス タン バイ 方 式 : 通常 は 1 系 統 で 運用 

コー ルド ・ ス タン バイ 方 式 は , 通常 は 1 系 統 だ け 電 源 を 
供給 し て 運用 し て お り , 異常 や 故障 が 生じ た 場合 に は 他 系 
統 に 電源 を 入れ , 切り 替え て 運用 を 再開 する も の で す . 

この 方 式 は 天文 観測 な ど を 目的 と し た 科学 衛星 の 姿勢 軌 
道 制御 装置 に 早く か ら 有 用い られ て いま す . 2006 年 初め に 打 
ち 上 げ ら れ 書 あか り 1 ⑦ な どの 科学 衛星 は , カメ ラ や ア 
ン テ ナ を 地球 も 含め た 各種 天体 に 向け る た め に , フレ キシ 
ブル な 姿勢 ・ 軌道 制御 を 行い ます . これ ら 科学 衛星 に 搭載 
され て いる 姿勢 ・ 軌道 制御 装置 は , 非常 に イン テリ ジェン 
ト 化 が 進ん で お り , 冗長 構成 と し て は 簡潔 な コー ルド ・ ス 
タン バイ 方 式 を 採る こと と に より , シス テム の 複雑 さ の バラ 
ンス を 取っ て いま す . 

コー ルド ・ ス タン バイ 方式 は その 性 格 上 , 主 系 か ら 冗長 
系 へ の 切り 替え に 時 間 が か か る た め , 主として フェ イル セ 
ー フ 機能 に 重点 が 置か れ た も の で す . 


@⑯ ホッ ト ・ ス タン バイ 方 式 : 常に 複数 系 統 で 運用 する 
ホッ ト ・ ス タン バイ 方 式 は , 冗長 系 と し て 用 意 し た 複数 
の モジ ュー ル に 同時 に 電源 を 入れ て お いて 運用 する も の で 
す . この 方 式 に は 以下 の よう な も の が 挙げ られ ます . 各 方 
式 の 特徴 や 課題 に つい て も 述べ ます . 
1) 多数 決 方 式 
多数 決 方 式 は , 各 CPU の 入出 力 に 多数 決 回 路 を 設け , 一 


つの CPU が 異常 ・ 故障 を 起こ し て も , 全体 的 に は 停止 し 
な いこ と を 目的 と し て いま す . 一 般 に 高い 信頼 性 が 得 ら れ 
ます が , この 方 式 は 多数 決 回 路 そ の も の の 異常 や 故障 に は 
対応 で きま せん . つま り , CPU は 多重 化 さ れ て いる も の 
の , 通常 は 多数 決 回 路 で 信号 が 1 点 に 集中 し て お り , 多数 
決 回 路 そ の も の の 異常 や 故障 は シス テム ・ ダ ウン に つなが 
り ま す . 言い 換え れ ば , 本 構成 で は 多数 決 回 路 も を の も の が 
単 一 故障 点 と な っ て いま す . この た め , 多数 決 回 路 と し て 
高 信頼 性 を 持つ 特殊 な デバ イス を 用 いる こと で 対処 し て お 
り , デバ イス の 故障 率 に 依存 し た 確率 的 な 故障 率 低下 と , 
多数 決 構成 に よる 機能 的 な 解決 策 と を 併用 し た も の と な り 
まず す 。 

多数 決 回 路 そ の も の を 多重 化す る 対応 策 も あり ます が , 
この 場合 で も 入出 力 が 一 つ に 集まる 点 が あり , LN 

に も 重量 , 消費 電力 な ど が 増大 し ます . 5 
た り , 例え ば 93 重 多数 決 を 4 重 多 数 決 に 拡張 する 場 
多数 決 回 路 周 り を 新規 に 設計 する 必要 が あり ます . 

この 方 式 は も っ と も 早く から 検討 され て お り , 使用 実績 
も 多く , さま ざま な 改良 が 施さ れ , 上 記 の 欠点 を 補う よう 
な 対策 も 種々 発表 され て いま す . 代表 的 な シス テム と し て 
は , 平成 6 1994 年 ) 度 に 打ち 上 げ ら れ た 技術 試験 衛星 
VI 型 ETS-VI) に 搭載 され た 姿勢 制御 装置 が 挙げ ら れ ま 
ずる. この シス テム で は , シス テム ・ バ ス の 2 重 化 , 記憶 
部 の 3 重 多数 決 化 な ど が 用 いら れ , 信頼 度 の 高い シス テム 
が 構成 され て いま す . また , 姿勢 制御 装置 に 対す る 要求 を 
考慮 する こと に より , 多数 決 回 路 に 起因 する 単 一 点 故障 を 
シス テム 的 に 排除 する 構成 を 実現 し て いま す . ETS-VI 搭 
載 用 ACR 姿勢 制御 電子 回 路 ) 内 に 実装 され た 計算 機 は 
ETS-VI の 頭脳 と も 言え る も の で , 16 ビ ッ ト の CPU モジ ュ 
ー ル を 4 人 台 内 蔵 し て いま す . 各 CPU モ ジュ ー ル に は それ ぞ 
れ 3 重 多数 決 ロ ー カ ル RAM を 持ち , シス テム ・ バス, 共 
メ モリ ・ モ ジュ ー ル , 出力 ポー ト な ども 2 重 化 さ れ て お 
り , さら に 共有 メモ リ ・ モ ジュ ー ル 内 の RAM も 3 重 多数 
決 化 され て いま す . 

一 方 , シス テム ・ バ ス ・ イ ンタ ー フ ェ ー ス に つい て は , 
ニニ つ の CPU の 並列 運 典 デュ プレ ックス ) 方 式 が 採ら れ て 
いま す . 計算 機 部 を フォ ー ル ト ・ ト レラ ント 化す る 際 に 
設計 の トレ ー ド オフ と し て , デュ プレ ックス 方 式 と 3 重 多 
数 決 方 式 と の 比較 が 行わ れ て いま す が , 姿勢 制御 に お いて 
数 サイ クル の 制御 の 中 断 は 許容 可能 な た め , 信頼 度 ・ 消 費 
電力 の 観点 か の ら デ ュ プ レッ クス 方 式 が 採用 され た と 報告 さ 


れ て いま す . この 例 は 大 規模 な シス テム で す が , 多数 決 回 
路 に 起因 する 単 一 点 故 障 を 回 避 す る と と も に , シス テム 要 
求 の 範囲 敗 に お いて フェ イル ・ オ ペラ ティ ブ を 実現 し 得る 
シス テム と 言え ます . 

2) ソフ ト ウェア 通信 方 式 

ソフ トウ ェ ア 通 信 方 式 は , 各 CPU が 基本 的 に は 並行 し て 
処理 を 行い, あら か じ め 決 め ら れ た チェ ッ ク ・ ポ イン ト に 
お いて 互い に 通信 を 行い, デー タ を 照合 し な が ら 処 理 を 進 
め て いく も の で す . この 方 式 は , 異常 や 故障 が 起こ っ た 場 
合 , 故障 の 分 離 , シス テム の 再 構成 お よび 再 同 若 正常 な 
マイ コン に マス タ 機 能 を 移し , ロー ル バ ッ ク 処 理 な ど を 行 
っ て シス テム の 動作 を 続行 する ) が 比較 的 容易 に で きま す . 

組み 込ま れる ソフ トウ ェ ア は 常に 通信 し , 結果 を 照合 し 
な けれ ば な ら ず , その た め 本 方 式 が 適用 され る シス テム は , 
比較 的 大 規模 な シス テム と な り ま す . また , 複数 の CPU を 
シス テム ・ バ ス に 接続 する 場合 , や は り 多数 決 回 路 な ど に 
よっ て 信号 を 一 つ に まとめ る 必要 が あり , この ハー ドウ ェ 
ア そ の も の は 本 方 式 に と っ て は 本 質 的 で な い に も か か わら 
ず , 単 一 敢 障 点 を 内 在 せ ざる を 得 な い ジ レン マ を 持っ て い 
ます . 一 方 で , 本 方 式 は ソフ トウ ェ ア に よる 通信 を 利用 す 
る こと か ら , 既設 計 の 計算 機 を 流 有 有する こと が 可能 に な り ま 
す . スペ ー ス ・ シ ャ トル に 用 いら れ て いる ガイ ダン ス ・ コ ン 
ピュ ー タ は , この 特徴 を うま く 利用 し て いま ずる . 

日 本 で 最初 に 月 に 到達 し た 科学 衛星 ひ て ん 」 に 搭載 され 
た OBC が この 方 式 を 用 いて いま ず 5. この OBC は デバ イ 
ス の ハイ ブリ ッ ド 化 を 行い , 小型 化 を 達成 し て いま す . 冗 
長 構成 と し て は 比較 的 大 規模 に な りや すい ソフ ト ウェ ア 通 
信 方 式 を 使い な が ら , 高度 な デバ イス 技術 に より 小型 化し 
た 好例 と 言え ます . 

3) FRM functional redundancy monitor) 方 式 

FRM 方 式 は , CPU に 自己 の バズ アド レス , デー タ , ス 
テー タス ) 出力 と 外部 の バス 信号 の 内 容 と が 一 致し て いる / 
いな い の 比 較 監 視 機能 を 持た せる も の で ず @. 各 CPU は 
監視 モー ド また は 通常 モー ド と いっ た 走行 モー ド を 指定 で 
きま す . 
通常 モー ド 走行 の プロ セッ サ は , この 比較 回 路 を 動作 さ 
せ ず チッ プ 内 の 処理 結果 を その まま バス に 出力 し ます . 監 
視 モ ー ド の プロ セッ サ は , チッ プ 内 の 処理 結果 を バス に 出 
力 せ ず 比 較 回 路 の 入力 と し , また , 外部 か ら の 信号 を 比較 
回 路 の 入力 と し ます . 従っ て , 各 CPU の デー タ ・ バス, ア 
ドレ ス ・ バ ス , ステ ー タ ス 信 号線 は , お の お の 単純 に 
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ン ・ ツ ー・ ピ ン 接 続 する だ け で , プロ セッ サ 間 で お 互い の 
処理 内 容 を 監視 で きま す . 比較 回 路 が 不一致 を 検出 する と 
監視 モー ド の プロ セッ サ は 外部 回 路 に 対し て 専用 端子 を 通 

し て これ を 通知 し ます . この 方 式 は , 多数 決 方 式 や ソフ ト 

ウェ ア 通 信 方 式 に 対し て , 以下 の よう な 利点 が あり ます . 

e 比較 ・ 検 出 回 路 が 各 CPU に それ ぞ れ 内 蔵 さ れ て いる た 
め , 多数 決 方 式 と 異なり, これ ら の 回 路 が 単 一 故障 点 と 
な ら な い . 

e ソ フト ウェ ア 通 信 方 式 と 異な り , 常に 信号 の 比較 が 行わ 
れる . また , CPU 上 の ソフ ト ウェ ア は , 比較 が 行わ れ て 
いる こと を 通常 は 意識 する 必要 が な い . 

一 方 , 主 な 課題 と し て 次 の も の が 挙げ られ ます. 

e マイ コン 内 蔵 の 機能 で ある た め , 使う マイ コン が 限定 さ 
れる . 国産 の マイ コン で この 機能 を 有する も の は , NEC 
製 の V70 な ど . 

e 再 構成 を 行う た め に は , 多数 決 回 路 相当 の も の が 必要 . 

具体 的 に は , W 重 系 を 構成 する 各 CPU が 出力 する 異常 検 

出 信 号 を まとめ て 判断 し , 正常 な CPU を 選択 し た 上 で 

バス 上 に 信号 を 出力 する 権利 を 持つ CPU を 指定 する 機 

能 が 必要 と な る . な ぜ な ら , 各 CPU が 誤っ て 異常 検出 

信号 を 出力 し て くる 可能 性 が ある た め . 従っ て , この 異 

常 検出 信号 を 取り まとめ て 判断 する 部 分 は , 構成 法 に よ 

っ て は 多数 決 回 路 の よう に 単 一 故障 点 と な り 得る . この 

方 式 を 用 いた 代表 的 な 装置 と し て は , 宇宙 ステ ーション 

日 本 実験 モジ ュー ル き ぼ う ) に 搭載 され る 通信 制御 装置 

( JCP) が 挙げ られ る ぞ 7. 


PE: プロ セッ サ ・ エ レ メ ン ト 図 
マス タ 権 区 


CRAFT シ ステ ム ・ バ ス 図 


判定 信号 較 


4) CRAFT シ ステ ム ( compare and rational abort for 
fault-tolerant ) 

CRAFT シス テム は , 搭載 し た コン ピュ ー タ が 持つ 各 機 
熊 演算 機能 や 故障 検出 機能 , 故障 分 離 / 再 構成 機能 , 再 同 
期 機能 ) の 分 散 化 を さら に 進め る こと に よっ て , 単 一 点 故 
障 を 回 避 す る も の で す . この 方 式 は 以下 の 目標 の も と に 開 
発 さ れ た も の で , 日 本 独自 の 方 式 で ず 8 9. 

e 原理 的 に 単 一 故障 点 を 持た な いこ と . つま り , 一 つの デ 
バイ ス の 故障 に よっ て , シス テム ・ ダ ウン に つなが ら な 
いこ と . 

e* どの よう な デバ イス に も 適用 可能 で ある こと . マイ コン 
の 世代 交代 は 速い . 特定 の マイ コン に 依存 し た 方 式 で は 
マイ コン の 寿命 と と も に 多重 化 方 式 の 寿 谷 も 尽 さ て し ま 
う . また , 汎用 マイ コン ば か り で な く , ディ ジタル ・ シ 
グ ナ ル ・ プ ロ セ ッ サ な どの 特殊 用 途 プ ロ セ ッ サ や , 周辺 
素子 な ど に も 拡大 し て 適用 で きる こと が 望ま し い . 

e 多重 度 を 容易 に 高め られ る こと . 例え ば , 3 重 冗長 シス 
テム か ら 4 重 冗 長 シ ステ ム へ は , ハー ドウ ェ ア の 再 設 計 
を ほとん ど 必 要 と せ ず に 拡張 で きる こと が 望ま し い . 

e 基本 的 に ソフ トウ ェ ア は 多重 化 さ れ て いる こと を 意識 せ 
ず に 済む こと . 組み 込み シス テム に 搭載 され る ソフ ト 
ウェ ア は 年 々 大 規模 に な っ て き て いる . ソフ トウ ェ ア を 
開発 する 場合 に , な る べく 負荷 を 少な くす る 必要 が ある . 

e シス テム が リア ル タ イ ム で 再 構成 され る こと . バス の 制 
御 権 を 持つ CPU に 異常 が 発見 され た 場合 , バス ・ マ ス 
タ の 交代 の た め に シス テム 動作 を 中 断 する 時 間 を 極力 な 
くす も の と する . 


( left) 図 


判定 信号 較 


( a) 計算 機 の モジ ュー ル 構 成 図 
図 6 CRAFT シ ステ ム 


冗長 度 マネ ジメント 図 マス タ 権 図 
判定 信号 較 
判定 信号 較 
( right) 図 
許可 / 不 許可 図 ヽ / 


CRAFT バ ス 図 


( b)( a) に 示し た PE の 内 部 図 


搭載 し た コン ピュ ー タ が 持つ 各 機能 の 分 散 化 を さら に 進め る こと に よっ て , 単 一 点 故障 を 回 避 す る . 
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図 @ a) は SERVIS-2 に 搭載 され て いる 計算 機 9 の モジ ュ 
ー ル 構成 で あり , 各 CPU り モジュール は 異常 検出 ネッ トワ 
ー ク を 構成 し て いま す . 図 @ b) は その うち の 一 つの CPU 
モジ ュー ル の 詳細 図 で す . 

各 CPU り モ ジュ ー ル は , 出力 比較 信号 線 を 通じ て リン グ 
状 に 接続 され , 異常 検出 ネッ トワ ー ク を 構成 し て お り , 各 
CPU モジ ュー ル 内 部 に 設け られ た 比較 回 路 の 比較 結果 と , 
両隣 に 接続 され た CPU モジ ュー ル か ら 出力 され る 比較 結果 
と の 合計 三 つ の 信号 か ら , 自 CPU モ ジュ ー ル が 正常 か 異 
常 か を 判断 する 検出 回 路 を 持っ て いま す . 

各 検出 回 路 は 自 CPU モ ジュ ー ル が 異常 と 判断 し た 場合 , 
CPU モジ ュー ル 自 体 を ネッ トワ ー ク か ら 論 理 的 に 切り 離 
し , マス タ 権 を 隣接 し た CPU モジ ュー ル に 移管 し , 自 モ 
ジュ ー ル の 比較 結果 と 隣接 CPU モジ ュー ル か ら の 比較 結果 
入力 と を 切り 替え で つま り バ イ パ ス し て ), 隣接 CPU モ 
ジュ ー ル に 出力 する 回 路 を 持っ て いま す . 

異常 が 発生 し た CPU モジ ュー ル は シス テム か ら 隔離 さ 
れ , ヵ 個 の CPU モジ ュー ル か ら 構 成 さ れ て いた シス テム か 
ら ヵ ー 1 個 の CPU モジュール で 構成 され る 縮退 シス テム へ 
00 に 行わ れ ま す . 

マス タ CPU に 異常 が 発生 し た 場合 は , 隣接 CPU モジ ュ 
ー ル が 件 析 を 得 て , マス タ と し て 機能 する よう に な り ま 
す . 本 シス テム で は 異常 出力 は マス ク さ れ , 常に 正常 な 出 
力 が 期待 で きま す . この 方 式 で は 3 モジ ュー ル 以 上 で あれ 
ば 理論 的 に ヵ 重 ヵ 三 3) ま で の 回 路 の 変更 な し に 拡張 可能 
で , シス テム 冗 長 性 要求 の 変化 に 対し て 容易 に 対応 で きま 
す . また 対象 と な る モジ ュー ル が CPU で ある 必要 は な く , 


DSP や I/O 〇 プロセッサ な ど , ほか の 機能 デバ イス に も 応用 
可能 で す . 

* ネ * 
これ ら の 冗長 設計 を 行う 際 は , 十分 に 故障 ケー ス の 解析 


を 行い , 一 過 性 の 故障 に 対応 する の か , 永久 故障 に 対応 す 
る の か な ども 考慮 し て 最適 な 方 式 を 選択 する 必要 が あり ま 
す . 上 述 の 各 冗 長 構成 の 開発 トレ ンド を 図 7 に 示し ます . 
故障 分 離 や 再 構成 機能 の 分 散 化 ま で は 冗長 方 式 に よっ て 対 

可能 で す が , 再 同期 処理 の 分 散 化 は , シス テム 的 アプ ロ 
ー チ も 併用 され る こと に な る も の と 考え られ ます . この よ 
うな トレ ー ド オフ の 検討 を 進め る た め に , 近年 , 冗長 シス 
テム を 構成 する の に 適し た 組み 込み シス テム 用 通信 ネッ ト 
ワー ク 規格 が 提唱 され て いま ず の. 評価 用 シス テム も 発売 
され て お り , 冗長 構成 の さま ざま な 実験 が で きる よう に 
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孝 長 設計 で 
事故 ・ 故 障 を 防ぐ 


再 同期 機能 の 分 散 化 鐘 


故障 分 離 ・ 再 構成 鐘 
CRAFT シ ステ ム 図 機能 の 分 散 化 較 


FRM 方 式 較 


ソフ トウ ェ ア 通 信 方 式 罰 由 機 能 の 分 散 化 


多数 決 方 式 較 演算 機能 の 分 散 化 較 


単 一 故障 点 の 減少 度 較 
図 7 各 冗 長 構成 の 開発 トレ ンド 


故障 分 離 や 再 構成 機能 の 分 散 化 まで は 冗長 方 式 に よっ て 対処 可能 だ が , 
期 処 理 の 分 散 化 は , シス テム 的 アプ ロー チ も 併用 され る こと に な る . 
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